虚拟网络服务标记
服务标记代表给定 Azure 服务中的一组 IP 地址前缀。 Azure 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记,最大限度地降低频繁更新网络安全规则的复杂性。
重要
虽然服务标记简化了启用基于 IP 的访问控制列表 (ACL) 的功能,但仅服务标记不足以保护流量,而无需考虑服务的性质及其发送的流量。 有关基于 IP 的 ACL 的详细信息,请参阅“什么是基于 IP 的访问控制列表 (ACL)?”。
有关流量性质的其他信息,请参阅本文后面的每个服务及其标记。 在为基于 IP 的 ACL 使用服务标记时,请务必确保熟悉允许的流量。 请考虑使用添加的安全级别来保护环境。
可以在网络安全组、Azure 防火墙和用户定义的路由中使用服务标记来定义网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。 在安全规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 通过在路由的地址前缀中指定服务标记名称,可以将用于服务标记封装的任何前缀的流量路由到所需的下一个跃点类型。
可使用服务标记来实现网络隔离,保护 Azure 资源免受常规 Internet 侵害,同时访问具有公共终结点的 Azure 服务。 可创建入站/出站网络安全组规则,以拒绝进出 Internet 的流量并允许进出 AzureCloud 或特定 Azure 服务的其他可用服务标记的流量 。
可用服务标记
下表列出了可在网络安全组规则中使用的所有服务标记。
列指示标记是否:
默认情况下,服务标记反映了整个云的范围。 某些服务标记还可以通过将相应 IP 范围限制为指定的区域,来实现更精细的控制。 例如,服务标记 Storage 代表整个云的 Azure 存储,而 Storage.ChinaNorth 将范围局限于 ChinaNorth 区域中的存储 IP 地址范围 。 下表显示了每个服务标签是否支持这样的区域范围,每个标签列出的方向是一个建议。 例如,AzureCloud 标记可用于允许入站流量。 在大多数情况下,不建议允许来自所有 Azure IP 的流量,因为其他 Azure 客户的 IP 包含在服务标记中。
标记 | 目的 | 可以使用入站还是出站连接? | 可以支持区域范围? | 是否可与 Azure 防火墙一起使用? |
---|---|---|---|---|
ActionGroup | 操作组。 | 入站 | 否 | 是 |
ApiManagement | 专用于 Azure API 管理的部署的管理流量。 注意:此标记表示每个区域的控制平面的 Azure API 管理服务终结点。 通过这个标记,客户可对 API 管理服务上配置的 API、操作、策略和 NamedValue 执行管理操作。 |
入站 | 是 | 是 |
ApplicationInsightsAvailability | Application Insights 可用性。 | 入站 | 否 | 是 |
AppConfiguration | 应用配置。 | 出站 | 否 | 是 |
AppService | Azure 应用服务。 建议将此标记用于 Web 应用和函数应用的出站安全规则。 注意:此标记不包括使用基于 IP 的 SSL 时分配的 IP 地址(应用分配的地址)。 |
出站 | 是 | 是 |
AppServiceManagement | 应用服务环境专用部署的管理流量。 | 两者 | 否 | 是 |
AzureActiveDirectory | Microsoft Entra ID。 | 出站 | 否 | 是 |
AzureActiveDirectoryDomainServices | 专用于 Microsoft Entra 域服务的部署的管理流量。 | 两者都有 | 否 | 是 |
AzureAdvancedThreatProtection | Azure 高级威胁防护。 | 出站 | 否 | 是 |
AzureAttestation | Azure 证明。 | 出站 | 否 | 是 |
AzureBackup | Azure 备份。 注意:此标记依赖于 Storage 和 AzureActiveDirectory 标记 。 |
出站 | 否 | 是 |
AzureBotService | Azure 机器人服务。 | 两者都有 | 否 | 是 |
AzureCloud | 所有数据中心公共 IP 地址。 此标记不包括 IPv6。 | 两者都有 | 是 | 是 |
AzureCognitiveSearch | Azure AI 搜索。 可以使用此标记或此标记涵盖的 IP 地址授予索引器对数据源的安全访问权限。 有关索引器的详细信息,请参阅索引器连接文档。 注意:服务标记的 IP 未包含在该服务标记的 IP 范围列表中,还需要将它添加到数据源的 IP 防火墙中。 |
入站 | 否 | 是 |
AzureConnectors | 此标记表示用于托管连接器的 IP 地址,这些托管连接器对 Azure 逻辑应用服务进行入站 Webhook 回调,并对其各自的服务(例如 Azure 存储或 Azure 事件中心)进行出站调用。 | 双向 | 是 | 是 |
AzureContainerRegistry | Azure 容器注册表。 | 出站 | 是 | 是 |
AzureCosmosDB | Azure Cosmos DB。 | 出站 | 是 | 是 |
AzureDatabricks | Azure Databricks。 | 两者 | 否 | 是 |
AzureDataExplorerManagement | Azure 数据资源管理器管理。 | 入站 | 否 | 是 |
AzureDigitalTwins | Azure 数字孪生。 注意:此标记或此标记所涵盖的 IP 地址可用于限制对事件路由配置的终结点的访问。 |
入站 | 否 | 是 |
AzureEventGrid | Azure 事件网格。 | 两者 | 否 | 是 |
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Azure Front Door。 | 推送、请求和匿名 | 是 | 是 |
AzureIoTHub | Azure IoT 中心。 | 出站 | 是 | 是 |
AzureKeyVault | Azure Key Vault。 注意:此标记依赖于 AzureActiveDirectory 标记 。 |
出站 | 是 | 是 |
AzureLoadBalancer | Azure 基础结构负载均衡器。 此标记将转换为主机的虚拟 IP 地址 (168.63.129.16),Azure 的运行状况探测源于该 IP。 这只包括探测流量,而不包括到后端资源的实际流量。 如果不使用 Azure 负载均衡器,则可替代此规则。 | 两者 | 否 | 否 |
AzureMachineLearning | Azure 机器学习。 | 两者 | 否 | 是 |
AzureMachineLearningInference | 此服务标记用于限制专用网络托管推理场景中的公用网络入口。 | 入站 | 否 | 是 |
AzureMonitor | Log Analytics、Application Insights、Azure Monitor 工作区、AzMon 和自定义指标(GiG 终结点)。 注意:对于 Log Analytics,还需要提供 Storage 标记 。 如果使用了 Linux 代理,亦必须有“GuestAndHybridManagement”。 |
出站 | 否 | 是 |
AzurePlatformDNS | 基本基础结构(默认)DNS 服务。 可以使用此标记来禁用默认 DNS。 使用此标记时要格外小心。 建议你阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
AzurePlatformIMDS | Azure 实例元数据服务 (IMDS),它是一个基本基础结构服务。 可以使用此标记来禁用默认 IMDS。 使用此标记时要格外小心。 建议你阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
AzurePlatformLKM | Windows 授权或密钥管理服务。 可以使用此标记来禁用授权默认值。 使用此标记时要格外小心。 建议你阅读 Azure 平台注意事项。 我们还建议你在使用此标记之前执行测试。 |
出站 | 否 | 否 |
AzureResourceManager | Azure 资源管理器。 | 出站 | 否 | 是 |
AzureSignalR | Azure SignalR。 | 出站 | 否 | 是 |
AzureSiteRecovery | Azure Site Recovery。 注意:此标记依赖于 AzureActiveDirectory、AzureKeyVault、EventHub、GuestAndHybridManagement 和 Storage 标记 。 |
出站 | 否 | 是 |
AzureSpringCloud | 允许流量流向 Azure Spring Apps 中托管的应用程序。 | 出站 | 否 | 是 |
AzureTrafficManager | Azure 流量管理器探测 IP 地址。 有关流量管理器探测 IP 地址的详细信息,请参阅 Azure 流量管理器常见问题解答。 |
入站 | 否 | 是 |
AzureWebPubSub | AzureWebPubSub | 双向 | 是 | 是 |
BatchNodeManagement | Azure Batch 专用部署的管理流量。 | 推送、请求和匿名 | 是 | 是 |
CognitiveServicesManagement | Azure AI 服务的流量的地址范围。 | 两者 | 否 | 是 |
DataFactory | Azure 数据工厂 | 两者都有 | 是 | 是 |
DataFactoryManagement | Azure 数据工厂的管理流量。 | 出站 | 否 | 是 |
EventHub | Azure 事件中心。 | 出站 | 是 | 是 |
GatewayManager | Azure VPN 网关和应用程序网关专用部署的管理流量。 | 入站 | 否 | 否 |
GuestAndHybridManagement | Azure 自动化和来宾配置。 | 出站 | 否 | 是 |
HDInsight | Azure HDInsight。 | 入站 | 是 | 是 |
Internet | 虚拟网络外部的 IP 地址空间,可以通过公共 Internet 进行访问。 此地址范围包括 Azure 拥有的公共 IP 地址空间。 |
两者 | 否 | 否 |
KustoAnalytics | Kusto Analytics。 | 推送、请求和匿名 | 否 | 否 |
LogicApps | 逻辑应用。 | 两者 | 否 | 是 |
LogicAppsManagement | 逻辑应用的管理流量。 | 入站 | 否 | 是 |
MicrosoftAzureFluidRelay | 此标记表示用于 Azure Fluid Relay Server 的 IP 地址。 | 出站 | 否 | 是 |
MicrosoftCloudAppSecurity | Azure Defender for Cloud Apps。 | 出站 | 否 | 是 |
MicrosoftContainerRegistry | Azure 容器映像的容器注册表。 注意:此标记依赖于 AzureFrontDoor.FirstParty 标记 。 |
出站 | 是 | 是 |
PowerBI | 活动版本。 | 推送、请求和匿名 | 否 | 是 |
PowerPlatformInfra | 此标记表示由基础结构用来托管 Power Platform 服务的 IP 地址。 | 两者都有 | 是 | 是 |
PowerPlatformPlex | 此标记表示基础结构用来以客户身份托管 Power Platform 扩展执行的 IP 地址。 | 两者都有 | 是 | 是 |
PowerQueryOnline | Power Query Online。 | 两者 | 否 | 是 |
Scuba | Microsoft 安全产品(Sentinel、Defender 等)的数据连接器。 | 入站 | 否 | 否 |
SerialConsole | 仅允许从“串行控制台”服务标记访问启动诊断存储帐户 | 入站 | 否 | 是 |
服务总线 | 使用高级服务层级的 Azure 服务总线流量。 | 出站 | 是 | 是 |
ServiceFabric | Azure Service Fabric。 注意:此标记表示每个区域的控制平面的 Service Fabric 服务终结点。 通过它,客户可从其 VNET 终结点对 Service Fabric 群集执行管理操作。 (例如,https:// chinanorth.cloudapp.chinacloudapi.cn)。 |
推送、请求和匿名 | 否 | 是 |
Sql | Azure SQL 数据库、Azure Database for MySQL 单一服务器、Azure Database for PostgreSQL 单一服务器、Azure Database for MariaDB 和 Azure Synapse Analytics。 注意:此标记表示服务而不是服务的特定实例。 例如,标记可表示 Azure SQL 数据库服务,但不能表示特定的 SQL 数据库或服务器。 此标记不适用于 SQL 托管实例。 |
出站 | 是 | 是 |
SqlManagement | SQL 专用部署的管理流量。 | 两者 | 否 | 是 |
存储 | Azure 存储。 注意:此标记表示服务而不是服务的特定实例。 例如,标记可表示 Azure 存储服务,但不能表示特定的 Azure 存储帐户。 |
出站 | 是 | 是 |
StorageSyncService | 存储同步服务。 | 两者 | 否 | 是 |
StorageMover | 存储移动程序。 | 出站 | 是 | 是 |
WindowsAdminCenter | 允许 Windows Admin Center 后端服务与 Windows Admin Center 的客户安装通信。 | 出站 | 否 | 是 |
WindowsVirtualDesktop | Azure 虚拟桌面(以前称为 Windows 虚拟桌面)。 | 两者 | 否 | 是 |
VirtualNetwork | 虚拟网络地址空间(为虚拟网络定义的所有 IP 地址范围)、所有连接的本地地址空间、对等互连的虚拟网络、已连接到虚拟网络网关的虚拟网络、主机的虚拟 IP 地址以及在用户定义的路由上使用的地址前缀。 此标记还可能包含默认路由。 | 两者 | 否 | 否 |
注意
将服务标记与 Azure 防火墙一起使用时,只能在入站和出站流量上创建目标规则。 不支持源规则。 有关详细信息,请参阅 Azure 防火墙服务标记文档。
Azure 服务的服务标记表示来自所使用的特定云的地址前缀。 例如,与 Azure 公有云上的 Sql 标记值对应的基础 IP 范围将不同于由世纪互联运营的 Azure 云的基础范围。
如果为某个服务(例如 Azure 存储或 Azure SQL 数据库)实现了虚拟网络服务终结点,Azure 会将路由添加到该服务的虚拟网络子网。 路由中的地址前缀与相应服务标记的地址前缀或 CIDR 范围相同。
经典部署模型中支持的标记
经典部署模型(Azure 资源管理器推出之前)支持上表中列出的一小部分标记。 经典部署模型中的标记采用不同的拼写方式,如下表中所示:
资源管理器标记 | 经典部署模型中的对应标记 |
---|---|
AzureLoadBalancer | AZURE_LOADBALANCER |
Internet | INTERNET |
VirtualNetwork | VIRTUAL_NETWORK |
用户定义的路由 (UDR) 不支持标记
下面是当前不支持与用户定义的路由 (UDR) 一起使用的标记列表。
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
AzureLoadBalancer
Internet
本地服务标记
可获取服务标记和范围的当前信息,将其包含在本地防火墙配置中。 此信息是对应于每个服务标记的 IP 范围的最新列表(截止目前)。 可以通过编程方式或通过 JSON 文件下载获取信息,如以下各节所述。
使用服务标记发现 API
可以编程方式检索最新的服务标记列表和 IP 地址范围详细信息:
例如,若要检索存储服务标记的所有前缀,可使用以下 PowerShell cmdlet:
$serviceTags = Get-AzNetworkServiceTag -Location chinaeast2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
注意
- API 数据表示可以在区域中与 NSG 规则一起使用的那些标记。 将 API 数据用作可用服务标记的可信源,因为它可能不同于 JSON 可下载文件。
- 跨所有 Azure 区域在 API 结果中传播新服务标记数据最长需要 4 周时间。 由于存在此过程,API 数据结果可能与可下载 JSON 文件不同步,因为 API 数据表示当前在可下载 JSON 文件中的标记子集。
- 必须完成身份验证,并具有一个对当前订阅拥有读取权限的角色。
使用可下载的 JSON 文件发现服务标记
可以下载包含最新服务标记列表和 IP 地址范围详细信息的 JSON 文件。 这些列表每周更新和发布。 每个云的位置如下:
这些文件中的 IP 地址范围采用 CIDR 表示法。
提示
可以通过增大 JSON 文件中的 changeNumber 值,检测各个发布的更新。 每个子节(例如 Storage.ChinaNorth)都包含自身的 changeNumber,发生更改后,该编号会递增。 当任意子节发生更改时,文件的顶级 changeNumber 将会递增。
有关如何分析服务标记信息的示例(例如,获取 ChinaNorth 中的存储的所有地址范围),请参阅服务标记发现 API PowerShell 文档。
将新的 IP 地址添加到服务标记后,这些地址至少一周内不会在 Azure 中使用。 可以利用这段时间更新任何可能需要跟踪与服务标记相关的 IP 地址的系统。
后续步骤
- 了解如何创建网络安全组。